Глава 8. Работа с журналом регистрации событий
Для сохранения текущих параметров запроса в шаблоне:
1. Нажмите в диалоге "Шаблоны запросов" кнопку "Сохранить как...".
2.Введите имя шаблона в текстовом поле появившегося на экране диалога.
3.Нажмите кнопку "Сохранить".
Текущие параметры запроса будут сохранены в шаблоне с заданным именем. Этот шаблон станет текущим, и его имя отобразится в поле “Имя текущего шаблона”.
Для удаления шаблона:
1. Выберите имя шаблона в поле “Список шаблонов”.
2.Нажмите кнопку "Удалить".
3.Подтвердите удаление шаблона в окне запроса.
Внимание! Выбранный шаблон будет немедленно удален из списка шаблонов без возможности восстановления.
Формирование запроса с помощью шаблонов из программы Проводник
Для формирования запроса:
1. Вызовите на экран окно программы Проводник. 2. Найдите и откройте каталог С:\-SNet-\Query.
Рис.69 Проводник (шаблоны запросов к системному журналу)
3.В списке файлов этого каталога выберите ярлык с именем нужного шаблона и запустите файл на исполнение, установив курсор на ярлык и дважды нажав левую кнопку мыши.
Если в системном журнале найдены записи, удовлетворяющие параметрам запроса, на экране появится окно программы просмотра журнала.
Работа с программой просмотра журнала
После того как запрос сформирован и выполнен, и в журнале найдены записи, удовлетворяющие параметрам запроса, на экран выводится окно программы просмотра журнала:
123
Secret Net 4.0. Руководство по администрированию
Панель инструментов и |
|
|||
контекстное меню |
|
|||
позволяют управлять |
|
|||
Для вызова |
||||
просмотром и выполнять |
|
|
||
|
||||
различные операции над |
контекстного |
|||
записями системного |
меню |
|||
журнала |
установите |
|||
|
|
|
указатель мыши |
|
|
|
|
на любую |
|
|
|
|
запись, затем |
|
|
|
|
нажмите |
|
Строка состояния |
правую кнопку |
|||
мыши |
||||
отображает информацию |
|
|||
об общем количестве |
|
|||
записей, содержащихся в |
|
|||
журнале (поле “Всего |
|
|||
записей”), и о количестве |
|
|||
записей, составляющих |
|
|||
текущую выборку (поле |
|
|||
“Отфильтровано”) |
|
|||
Рис.70 Окно просмотра журнала
Программа просмотра позволяет просматривать записи, отобранные из журнала, осуществлять поиск записей, содержащихся в выборке, распечатывать и удалять журнал, а также преобразовывать записи журнала в файлы различных форматов.
Интерфейс программы просмотра журнала
Сортировка
записей
В окне просмотра журнала, в виде таблицы, представлены сведения о событиях, зарегистрированных системой Secret Net 9x.
Каждая строка этой таблицы содержит информацию о конкретном событии. Записи приводятся в таблице сверху вниз в порядке возрастания времени регистрации соответствующих им событий.
Колонки таблицы содержат следующие сведения о событиях:
•Без названия - пиктографическое изображение, соответствующее категории, к которой относится данное событие;
•Дата - дата регистрации события в формате, соответствующем текущему формату даты в ОС Windows;
•Время - время регистрации события в формате, соответствующем текущему формату времени в ОС Windows;
•Пользователь - имя пользователя, во время работы которого на компьютере зарегистрировано данное событие;
•Событие - название зарегистрированного события;
•Задача - название задачи, во время выполнения которой зарегистрировано данное событие;
•Ресурс - полное имя файла (каталога), при выполнении действий над которым зарегистрировано данное событие.
Сортировка данных по содержимому любого столбца таблицы позволяет изменить порядок просмотра событий. Направление сортировки может быть:
•прямым - в порядке возрастания значений колонки от первой записи к последней;
•обратным - в порядке убывания значений колонки от первой записи к последней. Первой считается самая верхняя запись в таблице выборки.
124
Глава 8. Работа с журналом регистрации событий
Для сортировки записей:
Подведите курсор к заголовку нужной колонки и нажмите левую кнопку мыши. Записи будут отсортированы в прямом направлении. При повторном нажатии на заголовок колонки записи будут упорядочены в обратном направлении.
Просмотр информации о событии
Для просмотра полной информации о событии:
Установите указатель мыши в окне программы просмотра на любую запись, затем выполните одно из следующих действий:
•дважды нажмите левую кнопку мыши;
•активизируйте в контекстном меню (см. Рис.70) команду “Информация о событии”. В появившемся на экране информационном окне:
Спомощью этих кнопок можно посмотреть новое и старое значение атрибутов доступа к ресурсу, поэтому в информационном окне они появятся только в том случае, если просматривается информация о событии "Изменение атрибутов доступа"
Рис.71 Просмотр информации о событии
1. Поле "Общие сведения" содержит следующую информацию о событии:
•название события;
•категория (тип) событий, к которой относится данное событие;
•дата и время возникновения события.
2.Поле "Дополнительная информация" содержит следующую информацию о событии:
•имя пользователя, во время работы которого произошло событие;
•задача (программа), при выполнении которой произошло событие;
•ресурс, при работе с которым произошло событие;
•номер виртуальной машины, во время работы которой произошло событие.
Закончив просмотр, нажмите кнопку "Закрыть".
Примечание. Для просмотра информации о предыдущем или следующем событии используйте кнопки "<<" и ">>".
Поиск записей, содержащихся в выборке
Для упрощения анализа записей локального системного журнала в программе просмотра предусмотрена процедура поиска. Эта процедура осуществляет поиск пер-
125
Secret Net 4.0. Руководство по администрированию
вой записи, удовлетворяющей заданным параметрам поиска, из числа записей, содержащихся в текущей выборке.
Для поиска записей:
Поиск записей с помощью команд контекстного меню
1. Вызовите на экран окно настройки параметров поиска одним из следующих способов:
•Нажмите кнопку 
на панели инструментов программы просмотра.
•Установите указатель мыши на запись системного журнала, начиная с которой будет вестись поиск. Вызовите контекстное меню (см. Рис.70) и активизируйте команду “Поиск".
2.В окне настройки определите:
•Основные параметры поиска, аналогично тому, как это описано на стр.120.
•Дополнительные параметры поиска, аналогично тому, как это описано на стр.121.
•Параметры поиска с помощью шаблона так, как это описано на стр.122.
3.Нажмите кнопку "Выполнить".
Поиск записи ведется, начиная с текущей строки просматриваемого списка записей. Текущей является строка, выделенная цветом в окне просмотра журнала.
Примечание. Вы можете сделать текущей любую другую строку, выбрав ее с помощью мыши или клавишами управления курсором.
Результатом поиска будет первая запись, которая удовлетворяет заданным параметрам поиска. Эта запись будет отображена в окне просмотра и выделена цветом. Если до конца просматриваемого списка не найдено ни одной записи, удовлетворяющей заданным параметрам поиска - поиск прекращается, а на экран выводится соответствующее сообщение.
Внимание! Чтобы найти следующую запись, удовлетворяющую заданным параметрам поиска, установите указатель мыши на найденную запись (выделенную цветом), вызовите контекстное меню и активизируйте команду “Поиск далее”.
Поиск записей можно также осуществлять с помощью команд контекстного меню:
Для поиска записей с помощью контекстного меню:
1. Установите курсор мыши на запись журнала, начиная с которой будет вестись поиск, и вызовите контекстное меню.
2. В появившемся меню активизируйте одну из команд контекстного поиска.
126